Schwachstellen in Firefox und Thunderbird können Schadcode passieren lassen

Angreifer können Systeme attackieren, auf denen Firefox oder Thunderbird installiert ist. Davon ist auch die iOS-Version von Firefox betroffen. Sicherheitsupdates schließen unter anderem Schadcode-Lücken.

Reparierte Versionen

Im Sicherheitsbereich der Mozilla-Website sind die jüngst geschlossenen Schwachstellen aufgelistet. Unklar bleibt, welche Betriebssysteme konkret betroffen sind. Gegen mögliche Attacken sind die folgenden Ausgaben abgesichert:

• Firefox 142
• Firefox ESR 115.27
• Firefox ESR 128.14
• Firefox ESR 140.2
• Firefox für iOS 142
• Thunderbird 128.14
• Thunderbird140.2
• Thunderbird 142

Auswirkungen von Attacken

Angreifer können im Kontext der Audio/Video-GMP-Komponente auf einem nicht näher ausgeführten Weg einen Speicherfehler auslösen und so aus der Sandbox ausbrechen. Die Sicherheitslücke (CVE-2025-9179) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Sie betrifft Firefox und Thunderbird.

Darüber hinaus kann über weitere Speicherfehler (CVE-2025-9185 „hoch„) Schadcode auf Systeme gelangen. Im Anschluss gelten Computer in der Regel als vollständig kompromittiert. Unter iOS sind unter anderem XSS-Attacken vorstellbar (CVE-2025-55032 „hoch„).

Bislang gibt es noch keine Informationen über laufende Attacken. Unklar bleibt bislang auch, woran man bereits erfolgreich attackierte Systeme erkennen kann. Nutzer sollten sicherstellen, dass sie eine gegen die geschilderten Attacken abgesicherte Version installiert haben.

Zuletzt warnte Mozilla Anfang August vor Phishing-Attacken auf Add-on-Entwickler. Dabei wollten unbekannte Angreifer über gefälschte Mails Zugangsdaten von Entwicklern abgreifen. In welchem Ausmaß diese Kampagne ablief und Erfolg hatte, ist derzeit nicht bekannt.

(des)